Contenido
- ¿Qué es el ransomware NotPetya?
- ¿De quién te proteges?
¿Qué es el ransomware NotPetya?
NoPetya (o envoltura de mascotas) se basa en una versión anterior de el ransomware Petya, que fue diseñado originalmente para mantener como rehenes archivos y dispositivos para el pago de Bitcoin. Sin embargo a pesar El intento de NotPetya de recaudar dinero En su rápido ataque global, no parece estar estrictamente buscando dinero. En cambio, NotPetya está cifrando los sistemas de archivos de las máquinas para dañar a las empresas. El aspecto del ransomware es aparentemente sólo una tapadera.
Vídeos recomendados
Lo que hace que NotPetya sea peligroso es que debajo del frente basado en ransomware hay un exploit llamado azul eterno, supuestamente diseñado por la Administración de Seguridad Nacional de los Estados Unidos (también conocida como NSA). Se dirige a un protocolo de red específico y vulnerable llamado Bloque de mensajes del servidor (versión 1) se utiliza para compartir impresoras, archivos y puertos serie entre PC en red basadas en Windows. Por tanto, la vulnerabilidad permite a atacantes remotos enviar y ejecutar código malicioso en un objetivo. computadora. El grupo de hackers Shadow Brokers EternalBlue filtrado en abril de 2017.
El ransomware NotPetya también incluye un componente de "gusano". Normalmente, las víctimas son víctimas del ransomware al descargar y ejecutar malware disfrazado de un archivo legítimo adjunto a un correo electrónico. A su vez, el malware cifra archivos específicos y publica una ventana emergente en la pantalla, exigiendo un pago en Bitcoins para desbloquear esos archivos.
Sin embargo, el ransomware Petya que apareció a principios de 2016 llevó ese ataque un paso más allá al cifrar todo el disco duro de la PC. unidad o unidad de estado sólido infectando el registro de arranque maestro, sobrescribiendo así el programa que inicia el arranque de Windows secuencia. Esto resultó en un cifrado de la tabla utilizada para realizar un seguimiento de todo archivos locales (NTFS), evitando que Windows localice cualquier cosa almacenada localmente.
A pesar de su capacidad para cifrar un disco completo, Petya sólo era capaz de infectar un único PC objetivo. Sin embargo, como se ve con el reciente brote de WannaCry, el ransomware ahora tiene la capacidad de pasar de una PC a otra en una red local sin la intervención del usuario. El nuevo ransomware NotPetya es capaz de realizar la misma infestación lateral de la red, a diferencia de la versión original de Petya.
Según Microsoft, uno de los vectores de ataque de NotPetya es su capacidad para robar credenciales o reutilizar una sesión activa.
"Debido a que los usuarios inician sesión con frecuencia usando cuentas con privilegios de administrador local y tienen sesiones activas abiertas en En varias máquinas, es probable que las credenciales robadas proporcionen el mismo nivel de acceso que el usuario tiene en otras. máquinas," la empresa informa. "Una vez que el ransomware tiene credenciales válidas, escanea la red local para establecer conexiones válidas".
El ransomware NotPetya también puede utilizar archivos compartidos para multiplicarse en la red local e infestar máquinas que no están parcheadas contra la vulnerabilidad EternalBlue. Microsoft incluso menciona Romance Eterno, otro exploit utilizado contra el protocolo Server Message Block supuestamente inventado por la NSA.
"Este es un gran ejemplo de dos componentes de malware que se unen para generar malware más pernicioso y resistente", dijo Phil Richards, director de seguridad de la información de Ivanti.
Además del ataque rápido y generalizado de NotPetya, existe otro problema: el pago. El ransomware proporciona una ventana emergente que exige a las víctimas que paguen $300 en Bitcoins utilizando una dirección de Bitcoin específica, una ID de billetera de Bitcoin y un número de instalación personal. Las víctimas envían esta información a una dirección de correo electrónico proporcionada que responde con una clave de desbloqueo. Esa dirección de correo electrónico se cerró rápidamente una vez que Posteo, el proveedor de correo electrónico matriz alemán, descubrió sus malas intenciones.
“Nos dimos cuenta de que los chantajistas de ransomware utilizan actualmente una dirección de Posteo como medio de contacto. Nuestro equipo anti-abuso comprobó esto inmediatamente y bloqueó la cuenta de inmediato”. la empresa dijo. "No toleramos el uso indebido de nuestra plataforma: el bloqueo inmediato de las cuentas de correo electrónico utilizadas indebidamente es el enfoque necesario por parte de los proveedores en tales casos".
Eso significa que cualquier intento de pago nunca se concretaría, incluso si el pago fuera el objetivo del malware.
Finalmente, Microsoft indica que el ataque se originó en la empresa ucraniana M.E.Doc, desarrolladora del software de contabilidad fiscal MEDoc. Microsoft no parece estar señalando con el dedo, sino que afirmó que tiene pruebas de que “algunas infecciones activas del El ransomware comenzó inicialmente a partir del proceso legítimo de actualización de MEDoc”. Este tipo de infección, señala Microsoft, es un problema creciente tendencia.
¿Qué sistemas están en riesgo?
Por ahora, el ransomware NotPetya parece centrarse en atacar PC con Windows en las organizaciones. Por ejemplo, todo el sistema de vigilancia de la radiación situado en la central nuclear de Chernobyl fue fuera de línea en el ataque. Aquí en los Estados Unidos, el ataque afectó a todo el sistema de salud de Heritage Valley, afectando a todas las instalaciones que dependen de la red, incluidos los hospitales Beaver y Sewickley en Pensilvania. El aeropuerto de Kiev Boryspil en Ucrania horario de vuelo sufrido retrasos y su sitio web quedó fuera de línea debido al ataque.
Desafortunadamente, no hay información que indique las versiones exactas de Windows a las que apunta el ransomware NotPetya. El informe de seguridad de Microsoft no enumera versiones específicas de Windows, aunque para estar seguros, los clientes deben asumir que todas las versiones comerciales y principales de Windows, desde Windows XP hasta Windows 10, están dentro del ataque. ventana. Después de todo, incluso WannaCry apuntó a máquinas con Windows XP instalado.
¿De quién te proteges?
Microsoft ya ha publicado actualizaciones que bloquean los exploits EternalBlue y EternalRomance utilizados por este último brote de malware. Microsoft abordó ambos el 14 de marzo de 2017, con el lanzamiento de actualización de seguridad MS17-010. Esto fue hace más de tres meses, lo que significa que las empresas atacadas por NotPetya a través de este exploit aún no se han actualizado. sus PC. Microsoft sugiere que los clientes instalen la actualización de seguridad MS17-010 inmediatamente, si no lo han hecho ya.
Instalar la actualización de seguridad es la forma más efectiva de proteger su PC
Para las organizaciones que aún no pueden aplicar la actualización de seguridad, existen dos métodos que evitarán la propagación del ransomware NotPetya: deshabilitar completamente la versión 1 del Bloque de mensajes del servidory/o crear una regla en el enrutador o firewall que bloquee el tráfico entrante del Bloque de mensajes del servidor en el puerto 445.
hay otro forma sencilla de prevenir la infección. Comienza por abriendo el Explorador de archivos y cargando la carpeta del directorio de Windows, que normalmente es “C:\Windows”. Allí tendrás que crear un archivo llamado "perfc" (sí, sin extensión) y establezca sus permisos en "Solo lectura" (a través de General/Atributos).
Por supuesto, no existe una opción real para crear un nuevo archivo en el directorio de Windows, solo la opción Nueva carpeta. La mejor manera de crear este archivo es abrir el Bloc de notas y guardar un archivo "perfc.txt" en blanco en la carpeta de Windows. Después de eso, simplemente elimine la extensión ".txt" en el nombre, acepte la advertencia emergente de Windows y haga clic derecho en el archivo para cambiar sus permisos a "Solo lectura".
Por lo tanto, cuando NotPetya infecta una PC, escaneará la carpeta de Windows en busca de ese archivo específico, que en realidad es uno de sus propios nombres de archivo. Si el archivo perfc ya está presente, NotPetya asume que el sistema ya está infectado y queda inactivo. Sin embargo, ahora que este secreto es público, los piratas informáticos pueden volver a la mesa de dibujo y revisar el ransomware NotPetya para que dependa de un archivo diferente.
Recomendaciones de los editores
- Este juego permite a los piratas informáticos atacar tu PC y ni siquiera necesitas jugarlo
- Sea más productivo con estos consejos y trucos de Slack
